STANOVISKA
I
(Usnesení, doporučení a stanoviska)
STANOVISKA
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ
Stanovisko evropského inspektora ochrany údajů k závěrečné zprávě Kontaktní skupiny EU-USA na vysoké úrovni pro sdílení informací a ochranu soukromí a osobních údajů
(2009/C 128/01)
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,
s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,
s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,
s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů,
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů, a zejména na článek 41 uvedeného nařízení,
PŘIJAL TOTO STANOVISKO:
I. ÚVOD - SOUVISLOSTI STANOVISKA
1. S ohledem na summit EU dne 12. června 2008 oznámilo předsednictví Rady Evropské unie dne 28. května 2008 Coreperu, že Kontaktní skupina EU-USA na vysoké úrovni (dále jen „kontaktní skupina“) pro sdílení informací a ochranu soukromí a osobních údajů dokončila zprávu. Tato zpráva byla zveřejněna dne 26. června 2008 (1).
(1) Dokument Rady č. 9831/08, dostupný na adrese: xxxx://xx.xxxxxx. eu/justice_home/fsj/privacy/news/index_en.htm
2. Zpráva usiluje o určení společných zásad týkajících se ochrany soukromí a údajů jakožto prvního kroku k výměně informací se Spojenými státy za účelem boje proti terorismu a závažné nadnárodní trestné činnosti.
3. Předsednictví Rady ve svém oznámení uvádí, že by uvítalo jakékoli názory, pokud jde o činnosti navazující na tuto zprávu, a zejména odezvu na doporučení ohledně dalších opatření určených ve zprávě. Evropský inspektor ochrany údajů (EIOÚ) na tuto výzvu reaguje předložením tohoto stanoviska vycházejícího ze současné situace, jak je známa, a aniž je dotčen jakýkoli další postoj, který případně zaujme na základě posouzení vývoje dané otázky.
4. EIOÚ bere na vědomí, že činnost kontaktní skupiny proběhla v souvislostech, v nichž zejména od 11. září 2001 došlo k rozvoji výměny údajů mezi USA a EU prostřednictvím mezinárodních dohod či jiných druhů nástrojů. Mezi ně patří dohody Europolu a Eurojustu se Spojenými státy i dohody o jmenné evidenci cestujících a věc Swift, které vedly k výměně dopisů mezi úředníky EU a USA v zájmu stanovení minimálních záruk ochrany údajů (2).
(2) — Dohoda mezi Spojenými státy americkými a Evropským poli cejním úřadem ze dne 6. prosince 2001 a Dodatková dohoda mezi Europolem a USA o výměně osobních údajů a souvisejících informací zveřejněná na internetových stránkách Europolu;
— Dohoda mezi Spojenými státy americkými a Eurojustem o justiční spolupráci, 6. listopadu 2006, zveřejněna na interne tové stránce Eurojustu;
— Dohoda mezi Evropskou unií a Spojenými státy americkými o zpracovávání údajů jmenné evidence cestujících (PNR) letec kými dopravci a o jejich předávání Ministerstvu vnitřní bezpeč nosti Spojených států amerických (dohoda PNR 2007), pode psána v Bruselu dne 23. července 2007 a ve Washingtonu dne 26. července 2007, Úř. věst. L 204, 4.8.2007, s. 18;
— Výměna dopisů mezi úřady USA a EU ohledně programu sledo vání financování terorismu, 28. června 2007.
5. EU dále rovněž vyjednává a schvaluje obdobné nástroje, jimiž se stanoví výměna osobních údajů s dalšími třetími zeměmi. Nedávným příkladem je dohoda mezi Evropskou unií a Austrálií o zpracovávání údajů jmenné evidence cestujících (PNR) ze zdrojů Evropské unie leteckými dopravci a o jejich předávání Australské celní správě (3).
6. Z uvedených souvislostí se zdá, že okruh žádostí donuco vacích orgánů třetích zemí o osobní informace je stále širší a že se z tradičních vládních databází rozšiřují i na další druhy souborů, zejména soubory údajů shromážděných soukromím sektorem.
7. Jako významnou souvislost EIOÚ rovněž připomíná skutečnost, že otázkou převodu osobních údajů do třetích zemí v rámci policejní a justiční spolupráce v trestních věcech se zabývá rámcové rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní
4
II. Současný stav a další možná opatření
10. EIOÚ hodnotí současný stav takto. Ve vymezení společ ných standardů pro sdílení informací a ochranu soukromí a osobních údajů bylo dosaženo určitého pokroku.
11. Přípravné práce nejsou však dokončeny na žádném druhu dohody mezi EU a USA. Je třeba pokračovat v práci. Samotná zpráva kontaktní skupiny uvádí celou řadu nevy řešených otázek, z nichž nejvýznačnější je otázka
„nápravy“. Přetrvává neshoda ohledně nezbytné oblasti působnosti soudní nápravy (6). V kapitole III zprávy bylo určeno pět dalších nevyřešených otázek. Z tohoto xxxxxx xxxxx navíc vyplývá, že dosud není vyřešeno mnoho dalších otázek, například oblast působnosti a povaha nástroje pro sdílení informací.
12. Vzhledem k tomu, že preferovanou možností, které dává přednost i EIOÚ, je závazná dohoda, je skutečně zapotřebí jednat uvážlivě. Než bude možné dosáhnout dohody, je třeba dalších důkladných a zevrubných příprav.
a justiční spolupráce v trestních věcech ( ), které bude prav
děpodobně přijato do konce roku 2008.
8. Lze očekávat, že tato transatlantická výměna informací bude pouze vzrůstat a zasáhne i další odvětví, v nichž jsou zpracovávány osobní údaje. V této souvislosti je dialog o „transatlantickém vynucování práva“ vítán a zároveň představuje citlivou otázku. Je vítán v tom smyslu, že by mohl poskytnout jasnější rámec pro výměny údajů, které probíhají či proběhnou. Jde i o citlivou otázku, jelikož takový rámec by mohl legalizovat hromadná předávání údajů v oblasti vynucování práva, což je oblast, v níž je dopad na fyzické osoby zvláště závažný a je především zapotřebí přísných a spolehlivých ochranných opatření a záruk (5).
9. Stanovisko se bude v následující kapitole zabývat současným stavem a dalšími možnými opatřeními. Kapi tola III se zaměří na oblast působnosti a povahu nástroje, který by umožnil sdílení informací. V kapitole IV bude stanovisko z obecného hlediska analyzovat právní otázky související s obsahem případné dohody. Bude se věnovat otázkám, jako jsou podmínky posouzení úrovně ochrany poskytované ve Spojených státech, a bude projednávat otázku využití regulačního rámce EU jako kritéria pro posouzení této úrovně ochrany. Uvedená kapitola bude rovněž obsahovat seznam základních požadavků, které mají být do této dohody zahrnuty. A v kapitole V stanoviska budou analyzovány zásady týkající se soukromí související se zprávou.
(3) Úř. věst. L 213, 8.8.2008, s. 49.
(4) Rámcové rozhodnutí Rady o ochraně osobních údajů zpracováva ných v rámci policejní a justiční spolupráce v trestních věcech, znění ze dne 24. června 2008 je dostupná na adrese: xxxx://xx.xxxxxx.xx/ prelex/detail_dossier_real.cfm?CL=en&DosId=193371
13. Podle EIOÚ by bylo nejvhodnější, kdyby dohoda byla uzavřena v rámci Lisabonské smlouvy, samozřejmě v závislosti na jejím vstupu v platnost. V rámci Lisabonské smlouvy by skutečně nedošlo k právní nejistotě ohledně dělící čáry mezi pilíři EU. Bylo by rovněž zajištěno plné zapojení Evropského parlamentu, jakož i soudní kontrola ze strany Soudního dvora.
14. Za těchto okolností by nejlepším opatřením bylo vypra covat plán pro případnou dohodu v pozdější fázi. Součástí plánu by byly tyto prvky:
— pokyny pro pokračování činnosti kontaktní skupiny (či jakékoli jiné skupiny) a časový plán;
— v počáteční fázi i jednání a případnou dohodu o základních otázkách, jako je oblast působnosti a povaha dohody;
— rozpracování zásad ochrany údajů, a to na základě společného porozumění uvedeným základním otázkám;
— zapojení zúčastněných stran v různých fázích procesu;
— pokud jde o evropskou stranu, řešení institucionálních omezení.
(5) Pokud jde o nezbytnost jasného právního rámce, viz kapitola III a IV
tohoto stanoviska. (6) Strana 5 zprávy, pod písmenem C.
III. OBLAST PŮSOBNOSTI A POVAHA NÁSTROJE PRO SDÍLENÍ INFORMACÍ
15. Podle XXXX je zásadní, aby jako první krok vytvoření tohoto nástroje byla jasně vymezena oblast působnosti a povaha případného nástroje, včetně zásad ochrany údajů.
16. Pokud jde o oblast působnosti, dalšími otázkami, na něž je třeba odpovědět, jsou tyto:
— kdo jsou zúčastněné subjekty v rámci oblasti vynuco vání práva i mimo něj;
— co je míněno „účelem vynucování práva“ a jaký je jeho vztah k dalším účelům, jako je vnitrostátní bezpečnost, a konkrétněji hraniční kontrola a veřejné zdraví;
— jakým způsobem by nástroj zapadal do perspektivy globálního transatlantického prostoru bezpečnosti;
17. Vymezením povahy by se objasnily tyto otázky:
— v rámci kterého pilíře bude nástroj případně vyjed náván;
— zda bude nástroj závazný pro EU i pro USA;
— zda bude mít přímý účinek v tom smyslu, že pro fyzické osoby stanoví práva a povinnosti, které mohou být vymahatelné u justičního orgánu;
— zda nástroj jako takový umožní výměnu informací nebo pro ni zavede minimální standardy, které budě třeba doplnit zvláštními dohodami;
— jaký bude vztah mezi tímto nástrojem a nástroji stáva jícími: bude je respektovat, nahradí je, či doplní?
III. 1. Oblast působnosti nástroje
Zúčastněené subjekty
18. Přestože ve zprávě kontaktní skupiny není jasně uvedena přesná oblast působnosti budoucího nástroje, ze zásad, které jsou v ní uvedeny, lze vyvodit, že se má vztahovat
na předávání mezi soukromými a veřejnými subjekty (7) i mezi veřejnými orgány.
- M e z i s o u k r o m ý m i a v e ř e j n ý m i s u b j e k t y :
19. EIOÚ považuje uplatňování budoucího nástroje na předá vání mezi soukromými a veřejnými subjekty za logické. Tento nástroj je vytvořen na základě žádostí o informace od soukromých stran, které USA vyslovila v posledních letech. EIOÚ konstatuje, že z hlediska vynucování práva se soukromé subjekty skutečně stávají systematickým zdrojem informací, a to na úrovni EU či na mezinárodní úrovni (8). Věc SWIFT představovala důležitý precedens, při němž byla soukromá společnost požádána, aby systema ticky předávala hromadné údaje donucovacím orgánům třetího státu (9). Shromažďování údajů PNR od leteckých společností se řídí stejnými zásadami. EIOÚ zpochybnil oprávněnost této tendence již ve svém postoji k návrhu rámcového rozhodnutí o evropském systému PNR (10).
20. Existují dva další důvody, proč váhat ohledně začlenění předávání údajů mezi soukromými a veřejnými subjekty do budoucího nástroje.
21. Zaprvé by začlenění mohlo mít nežádoucí dopad na území samotné EU. EIOÚ má vážné obavy, že lze-li údaje soukro mých společností (jako jsou například finanční instituce) v zásadě předávat třetím zemím, mohlo by to vyvolat silný tlak, aby byl v rámci EU stejný druh údajů zpří stupněn obdobným způsobem i donucovacím orgánům. Režim PNR je příkladem takového nevítaného vývoje, který začal tím, že Spojené státy hromadně shromažďovaly údaje cestujících, a poté byl přenesen i do vnitřního evrop ského kontextu (11), aniž by byla jasně prokázána nezbyt nost a přiměřenost daného systému.
22. Zadruhé EIOÚ v postoji k návrhu Komise o EU PNR rovněž vznesl otázku rámce pro ochranu údajů (první či třetí pilíř) použitelného na podmínky spolupráce mezi veřejnými a soukromými subjekty: měla by pravidla vycházet z povahy správce údajů (soukromý sektor), nebo ze sledovaného účelu (vynucování práva)? Dělící
(7) Viz zejména kapitola 3 zprávy „Nevyřešené otázky související s transatlantickými vztahy“, bod 1: „Důslednost v souvislosti s povinnostmi soukromých subjektů během předávání údajů“
(8) Tato otázka viz postoj EIOÚ ze dne 20. prosince 2007 k návrhu rámcového rozhodnutí Rady o používání jmenné evidence cestují cích pro účely vynucování práva, Úř. věst. C 110, 1.5.2008, s. 1.
„Tradičně existoval jasný předěl mezi činnostmi v oblasti vynuco vání práva a činnostmi soukromého sektoru, kdy úkoly v oblasti vynucování práva vykonávají orgány zvláště určené, zejména poli cejní složky, a soukromé subjekty jsou vyžadovány pro předávání osobních údajů těmto donucovacím orgánům v jednotlivých situa cích. V současné době je tu tendence žádat od soukromých subjektů systematickou spolupráci pro účely vynucování práva.“
(9) Viz stanovisko Pracovní skupiny článku 29 pro ochranu údajů č. 10/2006 ze dne 22. listopadu 2006 týkající se zpracovávání osob ních údajů společností SWIFT (Society for Worldwide Interbank Financial Telecommunication), pracovní dokument WP 128.
(10) Stanovisko ze dne 20. prosince 2007, viz výše.
(11) Viz návrh rámcového rozhodnutí o používání jmenné evidence cestujících pro účely vynucování práva, uvedený v poznámce pod čarou 8, ve znění, které v současné době Rada projednává.
čára mezi prvním a třetím pilířem není zdaleka jasná v situacích, kdy povinnost zpracovávat soukromé údaje pro účely vynucování práva je uložena na soukromé subjekty. V této souvislosti je významné, že generální advokát Bot ve svém nedávném stanovisku ve věci týkající se uchovávání údajů (12) navrhl v daných situacích dělící čáru, ale k tomuto návrhu dodává: „Tato dělící čára jistě není prosta kritiky a v určitém ohledu se může zdát, že je vytvořena uměle.“ EIOÚ rovněž konstatuje, že rozsudek Soudního dvora ve věci PNR (13) plně neodpovídá na otázku použitelného právního rámce. Například skutečnost, že směrnice 95/46/ES se nevztahuje na určité činnosti, automaticky neznamená, že tyto činnosti lze regulovat podle třetího pilíře. Výsledkem je, že možná ponechává právní mezeru, co se týče použitelných právních předpisů, a každopádně z ní vyplývá právní nejistota v souvislosti s právními zárukami, které mají subjekty údajů k dispozici.
23. Z tohoto hlediska EIOÚ zdůrazňuje, že je třeba zajistit, že budoucí nástroj s obecnými zásadami ochrany údajů nebude moci legalizovat transatlantické předávání osobních údajů mezi soukromými a veřejnými stranami jako takové. Toto předávání údajů může být v budoucím nástroji zahrnuto, pouze pokud:
— budoucí nástroj stanoví, že předávání údajů je možné jen tehdy, jestliže je prokázáno, že je to pro konkrétní účel nezbytně nutné, o čemž se rozhodne jednotlivě;
— předávání údajů jako takové je doprovázeno význam nými opatřeními na ochranu údajů (jak je popsáno v tomto stanovisku).
XXXX rovněž bere na vědomí nejistotu ohledně použitel ného rámce pro ochranu údajů a naléhavě proto žádá, aby v žádném případě nebylo předávání osobních údajů mezi soukromými a veřejnými stranami zahrnuto do současné podoby právních předpisů EU.
- M e z i v e ř e j n ý m i o r g á n y :
24. Přesná oblast výměny informací není jasná. Při další práci na vytvoření společného nástroje by v první řadě měla být ujasněna předpokládaná oblast působnosti tohoto nástroje. Xxxxxxx zůstává zejména:
— zda souvislosti s databázemi umístěnými v EU by se
(12) Stanovisko generálního advokáta Bota ze dne 14. října 2008, Irsko
v. Evropský parlament a Rada (věc C-301/06), bod 108.
(13) Rozsudek Soudního dvora ze dne 30. května 2006, Evropský parla ment v. Rada Evropské unie (C-317/04) a Komise Evropských společenství (C-318/04), spojené věci C-317/04 a C-318/04, Sb. rozh. [2006], s. I-4721.
nástroj zaměřil na centralizované databáze (částečně) spravované Evropskou unií, jako jsou například data báze Europolu a Eurojustu, nebo na decentralizované databáze spravované členskými státy, či na obojí;
— zda se oblast působnosti nástroje vztahuje i na propo jené sítě, to znamená, zda se plánované záruky budou vztahovat na údaje vyměňované mezi členskými státy či agenturami v EU i v USA;
— zda by se nástroj vztahoval pouze na výměnu mezi databázemi v oblasti vynucování práva (policie, justice, případně celní úřady) nebo i mezi dalšími databázemi, jako jsou daňové databáze;
— zda by se nástroj týkal i databází vnitrostátních bezpeč nostních orgánů, nebo zda by těmto orgánům umožnil přístup k databázím v oblasti vynucování práva na území jiné smluvní strany (EU do databází USA a opačně);
— zda by se nástroj vztahoval na jednotlivé případy pře dávání informací, či na stálý přístup ke stávajícím data bázím. Tento poslední předpoklad by zajisté vyvolal otázky proporcionality, jak je projednáno dále v kapitole V bodě 3.
Účel vynucování práva
25. Vymezení účelu případné dohody rovněž ponechává prostor k nejistotě. Účely vynucování práva jsou jasně uvedeny v úvodu, jakož i v první zásadě uvedené v příloze zprávy a budou dále analyzovány v kapitole IV tohoto stanoviska. XXXX již nyní konstatuje, že z daných prohlášení se zdá, že výměna údajů by se zaměřila na záležitosti třetího pilíře, ale bylo by zajímavé vědět, zda se jedná pouze o první krok k rozsáhlejší výměně infor mací. Zdá se zřejmé, že účely „veřejné bezpečnosti“ uvedené ve zprávě zahrnují boj proti terorismu, organizo vané trestné činnosti a jiným trestným činům. Znamená to však, že se umožní výměna údajů, pokud jde o další veřejné zájmy, jako jsou případná ohrožení veřejného zdraví?
26. EIOÚ doporučuje omezit účel na přesně stanovené předá vání údajů a odůvodnit politické rozhodnutí vedoucí k danému vymezení účelu.
Globální transatlantický prostor bezpečnosti
27. Široká oblast působnosti této zprávy byl měla být zasazena do perspektivy globálního transatlantického prostoru bezpečnosti, o kterém jednala tzv. „Skupina pro budouc nost“ (14). Zpráva této skupiny, která byla vydána v červnu roku 2008, se do určité míry zaměřuje na vnější rozměr politiky v oblasti vnitřních věcí. Uvádí, že „do roku 2014 by Evropská unie měla učinit rozhodnutí o politickém cíli, jímž je vytvoření evropsko-atlantské oblasti spolupráce se Spojenými státy v oblasti svobody, bezpečnosti a práva“. Tato spolupráce by přesahovala oblast bezpečnosti v užším slova smyslu a zahrnovala by alespoň témata, jimiž se zabývá stávající hlava IV Smlouvy o ES, jako je přistěhovalectví, víza a azyl a spolupráce v oblasti občanského práva. Je třeba zvážit, do jaké míry by dohoda o základních zásadách ochrany údajů, jako jsou zásady uvedené ve zprávě kontaktní skupiny, mohla a měla být základem pro výměnu informací v tak široké oblasti.
28. Za běžné situace nebude v roce 2014 struktura pilířů již existovat a bude jeden právní základ pro ochranu údajů v rámci EU jako takové (podle Lisabonské smlouvy článek 16 o fungování Evropské unie). Ze skutečnosti, že existuje harmonizace na úrovni EU v souvislosti s nařízením o ochraně údajů, však nevyplývá, že by jakákoli dohoda se třetí zemí umožnila předávání jakýchkoli osobních údajů bez ohledu na účel. V závislosti na souvislostech a podmínkách zpracování údajů by pro určité oblasti, jako je vynucování práva, mohly být požadovány upravené záruky ochrany údajů. EIOÚ doporučuje, aby důsledky těchto různých hledisek byly zohledněny při přípravě budoucí dohody.
III.2. Povaha dohody
Evropský institucionální rámec
29. V krátkodobém horizontu je každopádně nutné určit, v rámci kterého pilíře bude ujednání vyjednáváno. Je toho zapotřebí zejména vzhledem k vnitřnímu regulač nímu rámci pro ochranu údajů, na který bude mít tato dohoda dopad. Bude se jednat o rámec prvního pilíře, v zásadě o směrnici 95/45/ES se zvláštním režimem pro předávání údajů do třetích zemí, nebo o rámec třetího pilíře s méně přísným režimem pro předávání údajů do třetích zemí? (15)
30. Přestože , jak již bylo uvedeno, účely vymáhání práva převládají, zpráva kontaktní skupiny zmiňuje shromažďo vání údajů od soukromých subjektů a účely mohou být rovněž vykládány v širším slova smyslu, který by mohl
(14) Zpráva neformální poradní skupiny na vysoké úrovni pro budouc nost evropské politiky v oblasti vnitřních věcí „Svoboda, bezpeč nost, soukromí – evropské vnitřní věci v otevřeném světě“, červen 2008, dostupná na stránkách: xxxxxxxx.xxxxxxxxx.xxxxxx.xx.
(15) Viz články 11 a 13 rámcového rozhodnutí o ochraně údajů uvede ného v bodě 7 tohoto stanoviska.
přesahovat pouhou bezpečnost, včetně například přistěho valectví a otázek hraniční kontroly, ale případně i veřejného zdraví. S ohledem na tyto nejasnosti, by bylo značně vhodnější vyčkat s jasným zavedením právního rámce pro jednání a se stanovením konkrétní role evrop ských orgánů, zejména Evropského parlamentu a Komise, na harmonizaci pilířů v rámci právních předpisů EU, jak je stanoveno v Lisabonské smlouvě.
Závazná povaha nástroje
31. Je třeba ujasnit, zda závěry jednání vyústí v memorandum o porozumění či v jiný nezávazný nástroj, nebo zda půjde
o závaznou mezinárodní dohodu.
32. EIOÚ podporuje volbu, která je upřednostňována ve zprávě, tedy závaznou dohodu. Úřední závazná dohoda je dle EIOÚ nezbytným předpokladem pro jakékoli předá vání údajů mimo EU, bez ohledu na daný účel předávání údajů. Bez patřičných podmínek a ochranných opatření zahrnutých ve zvláštním (a závazném) právním rámci nemůže proběhnout žádné předání údajů třetí zemi. Jinak řečeno, memorandum o porozumění či jiný nezávazný nástroj mohou být užitečné pro nasměrování jednání
o další závazné dohodě, ale nikdy nemohou nahradit nezbytnost závazné dohody.
Přímý účinek
33. Ustanovení nástroje by měla být stejně závazná pro USA i pro EU a její členské státy.
34. Rovněž je třeba zajistit, že na základě dohodnutých zásad budou fyzické osoby oprávněny vykonávat svá práva, a zejména dosáhnout nápravy. Podle EIOÚ lze tohoto výsledku nejlépe dosáhnout v případě, že podstatná usta novení nástroje budou formulována tak, aby měla přímý účinek na osoby s bydlištěm v Evropské unii a mohla být uplatňována před soudem. V nástroji musí tedy být jasně uveden přímý účinek ustanovení mezinárodní dohody, jakož i podmínky jejího provedení do vnitřních evropských právních předpisů a do vnitrostátního práva za účelem zajištění účinnosti opatření.
Vztah k jiným nástrojům
35. Další základní otázkou rovněž je, do jaké míry je dohoda samostatným nástrojem, či zda musí být v jednotlivých případech doplněna dalšími dohodami o konkrétních výměnách údajů. Je opravdu sporné, zda by se jediná dohoda s jediným souborem standardů mohla patřičně
vztahovat na rozmanitá specifika zpracovávání údajů v rámci třetího pilíře. A lze mít ještě větší pochybnosti o tom, že by bez dodatečných jednání a opatření na ochranu údajů mohla umožnit celkové schválení jakéhokoli předávání osobných údajů, bez ohledu na účel a povahu dotčených údajů. Kromě toho dohody se třetími zeměmi nemusí být trvalé, jelikož mohou souviset s konkrétními hrozbami, mohou podléhat revizi a ustanovením o skončení platnosti. Na druhé straně by společné mini mální standardy uznané v závazném nástroji mohly usnadnit veškerá další jednání o převádění osobních údajů, pokud jde o konkrétní databáze či zpracovávání.
36. EIOÚ by tudíž před možností v podobě samostatné dohody upřednostnil vypracování minimálního souboru kritérií pro ochranu údajů, který by byl v jednotlivých případech doplněn dodatečnými zvláštními ustanoveními, jak je uvedeno ve zprávě kontaktní skupiny. Tato doda tečná zvláštní ustanovení jsou předpokladem pro umožnění předávání údajů v konkrétním případě. Toto opatření by podpořilo harmonizovaný přístup, pokud jde o ochranu údajů.
Použitelnost na stávající nástroje
37. Je třeba rovněž posoudit, jakým způsobem by případná obecná dohoda byla kombinována se stávajícími doho dami, které již byly mezi EU a USA uzavřeny. Je třeba uvést, že tyto stávající dohody nemají stejnou závaznou povahu: zejména je třeba zmínit dohodu PNR (která posky tuje největší právní jistotu), dohodu Europolu a dohodu Eurojustu či výměnu dopisů týkající se SWIFT (16). Doplňoval by nový všeobecný rámec tyto stávající nástroje, nebo by zůstaly beze změn, přičemž nový rámec by se použil pouze pro další budoucí výměny osobních údajů? Podle EIOÚ by právní soulad vyžadoval harmonizovaný soubor pravidel, která by se uplatňovala na stávající i budoucí dohody o předávání údajů a tyto dohody by doplňovala.
38. Výhodou použitelnosti obecné dohody v případě stávají cích nástrojů by bylo posílení jejich závazné povahy. To by bylo zvláště vítáno v případě nástrojů, jež nejsou právně závazné, jako je výměna dopisů ohledně SWIFT, jelikož by tak byl alespoň zaveden soulad se souborem obecných zásad týkajících se soukromí.
IV. OBECNÉ PRÁVNÍ HODNOCENÍ
39. Tato kapitola se bude věnovat tomu, jakým způsobem je třeba se zabývat úrovní ochrany konkrétního rámce či
být použita, a nezbytných základních požadavků.
Odpovídající úroveň ochrany
40. Podle XXXX je třeba jasně uvést, že jedním z hlavních výsledků budoucího nástroje by bylo, že by k předávání osobních údajů Spojeným státům mohlo dojít pouze tehdy, pokud by úřady ve Spojených státech zajistily odpovídající úroveň ochrany (a naopak).
41. EIOÚ se domnívá, že dostatečné záruky, pokud jde o úroveň ochrany osobních údajů, by zajistila pouze zkouška skutečné přiměřenosti. Domnívá se, že by bylo obtížné, aby obecná rámcová dohoda s natolik širokou oblastí působnosti, jako je oblast uvedená ve zprávě kontaktní skupiny, prošla jako taková zkouškou skutečné odpovídající úrovně ochrany. Odpovídající úroveň obecné dohody by bylo možné uznat, pouze pokud je zkombino vána s odpovídající úrovní zvláštních dohod uzavřených v jednotlivých případech.
42. Posuzování úrovně ochrany poskytované třetími zeměmi není neobvyklé, zejména v případě Evropské komise: přiměřenost je podle prvního pilíře požadavkem pro pře dávání údajů. Při různých příležitostech byla podle článku 25 směrnice 95/46 měřena na základě zvláštních kritérií a Evropská komise ji potvrdila ve svých rozhodnutích (17). V rámci třetího pilíře tento systém není výslovně stanoven: Měření odpovídající úrovně ochrany je stanoveno pouze v konkrétních situacích článku 11 a 13 dosud nepřijatého rámcového nařízení o ochraně údajů (18) a je ponecháno na členských státech.
43. Ve stávajícím případě se rozsah opatření týká účelů vynu cování práva a jednání vede Komise pod dohledem Rady. Souvislosti se od hodnocení zásad „bezpečného přístavu“ (Safe Harbour) či od odpovídající úrovně kanadských práv ních předpisů odlišují a více souvisejí s nedávnými jedná ními se Spojenými státy a Austrálií ohledně PNR, která proběhla v právním rámci třetího pilíře. Zásady kontaktní skupiny však byly rovněž uvedeny v souvislosti s programem bezvízového styku, který se týká hranic a přistěhovalectví, a tudíž otázek prvního pilíře.
44. EIU doporučuje, aby jakékoli rozhodnutí o odpovídající úrovni podle budoucího nástroje vycházelo ze zkušeností
(17) Rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů ve třetích zemích, včetně Argentiny, Kanady, Švýcarska, Spojených států, Guernseye, Ostrovu Man a Jerseye, jsou dostupná na adrese: xxxx://xx.xxxxxx.xx/xxxxxxx_xxxx/xxx/xxxxxxx/xxxxxxxxxxxxxx/
nástroje, včetně otázky referenčních kritérií, která mají
(16) Viz poznámka pod čarou 2.
(18
) Omezeno na případy, kdy členský stát předává třetí zemi či mezi národnímu subjektu údaje získané od příslušného orgánu v jiném členském státě.
v těchto různých oblastech. Doporučuje rozpracování pojetí „odpovídající úrovně“ v souvislosti s budoucím nástrojem, a to na základě kritérií podobných těm, která byla užita v předchozích určováních odpovídající úrovně.
Vzájemné uznávání – vzájemnost
45. Druhá složka úrovně ochrany se týká vzájemného uzná vání systémů EU a USA. Zpráva kontaktní skupiny v této souvislosti uvádí, že cílem by bylo „uznat účinnost systému, který využívá druhá strana pro ochranu soukromí a údajů, v oblastech, jichž se tyto zásady týkají“ (19) a dosáhnout „rovnocenného a vzájemného uplatňování právních předpisů v oblasti ochrany soukromí a osobních údajů“.
46. EIOÚ považuje za zřejmé, že vzájemné uznávání (neboli vzájemnost) je možné pouze tehdy, pokud je zajištěna odpovídající úroveň ochrany. Jinými slovy: budoucí nástroj by harmonizoval minimální úroveň ochrany (prostřednic tvím rozhodnutí o odpovídající ochraně, přičemž by se zohlednilo, že v jednotlivých případech je třeba zvláštních dohod). Pouze za tohoto předpokladu by mohla být vzájemnost uznána.
47. Prvním prvkem, který je třeba zohlednit, je vzájemnost podstatných ustanovení o ochraně údajů. Podle EIOÚ by se dohoda měla zabývat pojetím vzájemnosti podstatných ustanovení o ochraně údajů tak, aby na jedné straně za jistila, že zpracovávání údajů na území EU (a USA) plně dodržuje vnitrostátní právní předpisy o ochraně údajů, a na straně druhé by zaručila, že zpracovávání mimo zemi původu údajů, které spadá do oblasti působnosti dohody, dodržuje zásady ochrany údajů, jak je uvedeno v dohodě.
48. Druhým prvkem je vzájemnost mechanismu nápravy. Je třeba zajistit, aby evropští občané měli k dispozici odpoví dající nápravu, jsou-li údaje, které s nimi souvisejí, zpraco vávány ve Spojených státech (bez ohledu na právní před pisy použitelné pro toto zpracovávání), a aby Evropská unie a její členské státy stejně tak poskytly rovnocenná práva občanům USA.
49. Třetím prvkem je vzájemnost týkající se přístupu donuco vacích orgánů k osobním údajům. Pokud jakýkoli nástroj umožňuje orgánům Spojených států přístup k údajům pocházejícím z Evropské unie, ze vzájemnosti by vyplý valo, že orgány EU by měly mít stejný přístup, pokud jde o údaje pocházející z USA. Vzájemnost nesmí mít negativní dopad na účinnost ochrany subjektu údajů. Jedná se o podmínku pro umožnění transatlantického přístupu donucovacím orgánům. Konkrétně to znamená, že:
(19) Kapitola X. Xxxxxxx mezinárodní dohoda, s. 8.
— přímý přístup orgánů Spojených států k údajům na území EU (a naopak) by neměl být umožněn; přístup by měl být poskytnut pouze nepřímo, za použití systému „uvolňování údajů“ (systém „push“);
— přístup by měl být poskytnut pod kontrolou orgánů ochrany údajů a justičních orgánů v zemi, kde jsou údaje zpracovávány;
— přístup orgánů Spojených států k databázím v EU by měl být v souladu s podstatnými ustanoveními ochrany údajů (viz výše) a měl by subjektu údajů zajistit plnou nápravu.
Přesnost nástroje
50. Přesné stanovení podmínek posouzení (odpovídající úroveň, rovnocennost, vzájemné uznávání) je zásadní, jelikož vymezuje obsah, pokud jde o přesnost, právní jistotu a účinnost ochrany. Obsah budoucího nástroje musí být přesný a správný.
51. Mělo by být rovněž zřejmé, že jakákoli zvláštní dohoda uzavřená v další fázi bude přesto muset zahrnovat podrobná a úplná opatření na ochranu údajů, pokud jde o subjekt plánované výměny údajů. Pouze taková dvojí úroveň konkrétních zásad ochrany údajů by zajistila nezbytnou „vzájemnou způsobilost“ mezi obecnou dohodou a zvláštními dohodami, jak již bylo uvedeno v bodě 35 a 36 tohoto stanoviska.
Vypracování předlohy pro další třetí země
52. Zvláštní pozornost si zaslouží míra, do jaké by se dohoda s USA mohla stát předlohou pro další třetí země. EIOÚ konstatuje, že výše uvedená zpráva Skupiny pro budouc nost uvádí jako strategického partnera EU kromě USA i Rusko. Jsou-li zásady neutrální a v souladu se základními ochrannými opatřeními EU, mohly by představovat užitečný precedens. Specifika související například s právním rámcem přijímací země či účel předávání údajů by však úplnému provedení dohody zabránily. Stejně tak rozhodující bude situace v oblasti demokracie ve třetích zemích: je třeba se ujistit, že dohodnuté zásady budou v přijímací zemi skutečně zajištěny a prováděny.
Jaká referenční kritéria použít k posouzení úrovně ochrany?
53. Implicitní i explicitní odpovídající úroveň by každopádně měla být v souladu s mezinárodním i evropským právním rámcem, a zejména se společně dohodnutými opatřeními na ochranu údajů. Tato opatření jsou zakotvena
v pokynech Organizace spojených národů, v úmluvě č.
108 Rady Evropy a v jejím dodatečném protokolu, v pokynech OECD a v rámcovém rozhodnutí o ochraně údajů, jakož i v případě aspektů prvního pilíře ve směrnici 95/46/ES (20). Všechny tyto nástroje obsahují podobné zásady, jež jsou obecněji uznány za základ ochrany osob ních údajů.
54. Je proto důležité, aby výše uvedené zásady byly řádně zohledněny, přičemž byl zvážen dopad takové případné dohody, jako je dohoda uvedená ve zprávě kontaktní skupiny. Nástroj zabývající se celým odvětvím vynucování práva ve třetí zemi by skutečně představoval bezprecedentní situaci. Stávající rozhodnutí v rámci prvního pilíře týkající se přiměřenosti, jakož i dohody uzavřené se třetími zeměmi v rámci třetího pilíře EU (Europol, Eurojust) vždy souvisely s konkrétním předáváním údajů, zatímco tento nástroj by vzhledem k obsáhlému účelu, k němuž má sloužit (boj proti trestným činům, vnitrostátní a veřejná bezpečnost, vymáhání práva na hranicích), a vzhledem k neznámému množství příslušných databází umožnil pře dávání s mnohem rozsáhlejší oblastí působnosti.
Základní požadavky
55. Podmínky, jež je třeba dodržovat v souvislosti s předáváním osobních údajů třetím zemím, byly vypraco vány v pracovním dokumentu Pracovní skupiny článku 29 (21). Jakákoli dohoda o minimálních zásadách týkajících se soukromí by měla uspět ve zkoušce souladu zajišťující účinnost opatření na ochranu údajů.
— Pokud jde o podstatu: zásady ochrany údajů by měly poskytovat vysokou úroveň ochrany a splňovat stan dardy v souladu se zásadami EU. Dvanáct zásad zahrnutých ve zprávě kontaktní skupiny bude
(20) — Pokyny OSN o elektronických souborech osobních údajů přijaté Valným shromážděním dne 14. prosince 1990, které jsou dostupné na adrese: xxx.xxxxxx.xx/xxxx/xxxx0/x/00.xxx;
— Úmluva Rady Evropy o ochraně fyzických osob v souvislosti s automatickým zpracováváním osobních údajů, 28. ledna 1981, dostupná na adrese: xxx.xxxxxxxxxxx.xxx.xxx/xxxxxx/xx/ Treaties/html/108.htm;
— Pokyny OECD o ochraně soukromí a přeshraničních toků osob ních údajů přijaté dne 23. září 1980, které jsou dostupné na adrese: xxx.xxxx.xxx/xxxxxxxx/00/0,0000,xx_0000_00000_ 15589524_1_1_1_1,00.html
— Návrh rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, který je dostupný na adrese: xxxx://xx. xxxxxx.xx/xxxxxx/xxxxxx_xxxxxxx_xxxx.xxx?XXxxx&XxxXxx000000
— Směrnice Evropského parlamentu a Rady 95/46/ES ze dne
24. října 1995 o ochraně fyzických osob v souvislosti se zpra cováním osobních údajů a o volném pohybu těchto údajů,
z tohoto hlediska dále analyzováno v kapitole V tohoto stanoviska.
— Pokud jde o specifika: v závislosti na povaze dohody, zejména pokud bude představovat úřední mezinárodní dohodu, by pravidla a postupy měly být dostatečně podrobné, aby umožnily účinné provádění.
— Pokud jde o dohled: v zájmu zajištění souladu s dohodnutými pravidly by měly být zavedeny zvláštní mechanismy kontroly, a to na úrovni vnitřní (audity) i vnější (přezkumy). Tyto mechanismy musí být stejným způsobem dostupné oběma stranám dohody. Součástí dohledu jsou mechanismy pro zajištění souladu na makroúrovni, jako jsou společné mecha nismy přezkumu, jakož i na mikroúrovni, například náprava v jednotlivých případech.
56. Kromě uvedených třech základních požadavků je třeba věnovat zvláštní pozornost specifikům souvisejícím se zpracováváním osobních údajů v kontextu vynucování práva. Jedná se skutečně o oblast, v níž mohou být lidská práva určitým způsobem omezena. Je tedy třeba přijmout opatření na ochranu údajů s cílem vyrovnat omezení práv fyzických osob, zejména v souvislosti s následujícími aspekty, a to s ohledem na dopad na fyzické osoby:
— Transparentnost: pokud jde o vynucování práva, infor mace a přístup k osobním údajům by mohly být omezeny, a to například kvůli potřebě diskrétnosti při vyšetřování. V rámci EU je běžné zavádět dodatečné mechanismy, které vyrovnávají tato omezení základ ních práv (často jsou do nich zapojeny nezávislé orgány ochrany údajů), přičemž je třeba zajistit, že podobné vyrovnávací mechanismy budou k dispozici, jakmile bude informace předána třetí zemi.
— Náprava: z výše uvedených důvodů by fyzické osoby měly mít i další možnosti, jak hájit svá práva, zejména prostřednictvím nezávislého orgánu dohledu a před soudem.
— Uchovávání údajů: je možné, že by odůvodnění doby uchovávání údajů nebylo transparentní. Je třeba
(21
Úř. věst. L 281, 23.11.1995, s. 31.
) Pracovní dokument ze dne 24. července 1998 o předávání osob ních údajů třetím zemím: uplatnění článků 25 a 26 směrnice EU o ochraně údajů; pracovní dokument WP 12.
přijmout opatření, aby se tím subjektům údajů či orgánům dohledu nezabránilo v uplatňování jejich práv.
— Odpovědnost donucovacích orgánů: pokud neexistuje účinná transparentnost, kontrolní mechanismy fyzic kých osob či zúčastněných stran z institucí nemohou být v žádném případě úplné. Vzhledem k citlivosti údajů a k donucovacím opatřením, která mohou být vůči fyzickým osobám přijala na základě zpracovávání údajů, by však přesto bylo zásadně důležité takové kontroly rozhodně zavést. Odpovědnost je rozhodující, pokud jde o vnitrostátní kontrolní mechanismy přijí mací země, ale i o možnosti, které má k dispozici země či region původu údajů. Tyto mechanismy přezkumu jsou stanoveny ve zvláštních dohodách, jako je dohoda PNR, a EIOÚ důrazně doporučuje zařadit je i do obecného nástroje.
V. ANALÝZA ZÁSAD
dosud rozhodující přesně vědět, do jaké míry se neshodují. Vzhledem k dopadu opatření na fyzické osoby musí být v oblasti vynucování práva zásada omezení účely vždy přísně dodržována a uvedené účely musí být jasné a zřetelně vymezeny. Vezmeme-li v úvahu vzájemnost uvedenou ve zprávě, zdá se, že sblížení daných účelů je rovněž zásadní. Stručně řečeno, je třeba ujasnit, jak je tato zásada chápána.
2. C e l i s t v o s t a k v a l i t a ú d a j ů
59. EIOÚ vítá ustanovení požadující přesné, patřičné, včasné a úplné osobní informace nezbytné pro zákonné zpraco vávání. Tato zásada je základní podmínkou jakékoli účin ného zpracovávání údajů.
Úvod
57. Tato kapitola analyzuje dvanáct zásad zahrnutých v dokumentu kontaktní skupiny z následujícího hlediska:
— Tyto zásady ukazují, že USA a EU mají na tyto zásady určité společné názory, a to vzhledem k tomu, že si lze povšimnout podobnosti se zásadami úmluvy č. 108.
— Xxxxxx ohledně zásad však nepostačuje. Právní doku ment by měl být dostatečně silný, aby zajistil soulad.
— EIOÚ lituje, že zásady nedoprovází důvodová zpráva.
— Dříve než se přistoupí k popisu zásad, by mělo být jasné, že obě strany chápou použité formulace stejně, například pokud jde o pojetí osobních informací či chráněných osob. Byly by vítány definice v tomto smyslu.
1. U p ř e s n ě n í ú č e l u
58. První zásada uvedená v příloze zprávy kontaktní skupiny uvádí, že osobní informace jsou zpracovávány pro zákonné účely vynucování práva. Jak bylo uvedeno, pro Evropskou
3. N e z b y t n o s t a p r o p o r c i o n a l i t a
60. Tato zásada stanoví jasnou vazbu mezi shromážděnými informacemi a jejich nezbytností k dosažení účelu vynuco vání práva stanoveného právními předpisy. Tento poža davek právního základu představuje pozitivní faktor pro zajištění zákonnosti zpracovávání. XXXX však konstatuje, že přestože se tím posiluje právní jistota zpracovávání, jeho právní základ spočívá v právních předpisech třetí země. Právní předpisy třetí země nemohou samy o sobě představovat zákonný základ pro předávání osobních údajů (22). V souvislosti se zprávou kontaktní skupiny se zdá, že je považováno za samozřejmé, aby oprávněnost právních předpisů třetí země, tedy Spojených států, byla v zásadě uznána. Je třeba mít na paměti, že jestliže takové úvahy mohou být v tomto případě opodstatněné, jelikož Spojené státy jsou demokratickým státem, stejný režim by neplatil nebo by nemohl být přenesen do vztahů se žádnou další třetí zemí.
61. Podle přílohy zprávy kontaktní skupiny musí být veškeré předávání osobních údajů náležité, nezbytné a patřičné. EIOÚ zdůrazňuje, že proto, aby zpracovávání bylo přimě xxxx, nesmí být nepřiměřeně rušivé a způsoby zpracová vání musí být vyvážené a musí zohledňovat práva a zájmy subjektů údajů.
62. Z tohoto důvodu by měl být přístup k informacím umožňován případ od případu, v závislosti na praktických potřebách v souvislosti s konkrétním vyšetřováním. Stálý přístup donucovacích orgánů třetí země do databází umístěných v EU by byl považován za nepřiměřený a za
unii to znamená předcházení, zadržení, vyšetřování či
stíhání trestných činů. Pro USA však výklad vynucování práva přesahuje trestné činy a zahrnuje „účely vynucování práva na hranicích, veřejné bezpečnosti a vnitrostátní bezpečnosti“. Důsledky těchto rozdílů mezi uvedenými účely EU a USA nejsou jasné. Přestože zpráva zmiňuje, že účely se v praxi mohou do značné míry shodovat, je
(22) Viz zejména čl. 7 písm. c) a písm. e) směrnice 95/46/ES. Ve stano visku 6/2002 ze dne 24. října 2002 o předávání zjevných infor mací o cestujících a jiných údajů od leteckých společností Spojeným státům Pracovní skupina článku 29 uvedla, že „se nezdá přijatelné, aby jednostranné rozhodnutí přijaté třetí zemí z důvodu jejího vlastního veřejného zájmu vedlo k běžnému postupu a hromadnému předávání údajů, které tato směrnice chrání“.
nedostatečně odůvodněný. EIOÚ připomíná, že i v rámci stávajících dohod o výměně údajů, například pokud jde o dohodu PNR, vychází výměna údajů z konkrétních okol ností a je uzavírána na omezenou dobu (23).
63. Vycházíme-li ze stejné logiky, doba uchovávání údajů by měla být regulována: údaje by měly být uchovávány, pouze dokud jsou nezbytné, přičemž by měl být zohledněn konkrétní sledovaný účel. Pokud již nemají význam pro stanovený účel, měly by být odstraněny. EIOÚ důrazně odmítá zřízení databází, v nichž by byly uloženy informace o nepodezřelých fyzických osobách pro případ, že jich bude později případně třeba.
4. B e z p e č n o s t i n f o r m a c í
64. Jsou vypracovány zásady týkající se opatření a postupů pro ochranu údajů proti zneužití, pozměnění a dalším rizikům, jakož i ustanovení omezující přístup neoprávněným fyzickým osobám. XXXX považuje tuto skutečnost za uspo kojivou.
65. Zásadu by rovněž mohlo doplňovat ustanovení uvádějící, že je třeba uchovat záznamy o subjektech, které do daných údajů nahlížejí. Tím by se posílila účinnost ochranných opatření, pokud jde o omezení přístupu a předcházení zneužití údajů.
66. Pro případ narušení bezpečnosti by bylo stanoveno rovněž vzájemné informování: příjemci v USA, jakož i v EU by byli odpovědni za informování svých protějšků v případě, že obdržené údaje byly nezákonně zpřístupněny. Toto opatření přispěje k posílení odpovědnosti za bezpečné zpracovávání údajů.
5. Z v l á š t n í k a t e g o r i e o s o b n í c h i n f o r m a c í
67. Zásada zakazující zpracovávání citlivých údajů je podle EIOÚ značně oslabena výjimkou umožňující jakékoli zpra covávání citlivých údajů, pro něž vnitrostátní právní před pisy stanoví „vhodná ochranná opatření“. Právě vzhledem k citlivé povaze údajů musí být jakákoli výjimka ze zásady zákazu patřičně a přesně odůvodněna a musí se uvést seznam účelů a okolností, za nichž lze stanovený druh citlivých údajů zpracovávat, jakož i udat povahu správců oprávněných zpracovávat tento druh údajů. Co se týče ochranných opatření, která mají být přijata, EIOÚ se domnívá, že citlivé údaje jako takové by neměly předsta
(23) Platnost této dohody skončí a její účinek zanikne sedm let ode dne podpisu, pokud se strany vzájemně nedohodnou na jejím nahra zení.
vovat prvek, jenž by mohl ohrozit vyšetřování. Za zvlášt ních okolností by mohly být k dispozici, ale pouze jako dodatečné informace v souvislosti se subjektem údajů, který je již vyšetřován. Ve znění zásady musí být uveden restriktivní výčet těchto ochranných opatření a podmínek.
6. O d p o v ě d n o s t
68. Jak již bylo podrobněji uvedeno v bodech 55 a 56 tohoto stanoviska, je třeba účinně zajistit odpovědnost veřejných subjektů zpracovávajících osobní údaje a stanovit v dohodě způsob, jímž bude zaručena. Jde o velmi důležitou otázku, jelikož transparentnost, jež je tradičně spojována se zpra cováváním osobních údajů v oblasti vynucování práva, není dostatečná. V této souvislosti není dostatečnou zárukou uvést, jako nyní v příloze, že veřejné subjekty jsou odpovědné, aniž by se dále vysvětlila podoba a důsledky této odpovědnosti. EIOÚ doporučuje, aby bylo toto vysvětlení uvedeno ve znění nástroje.
7. N e z á v i s l ý a ú č i n n ý d o h l e d
69. EIOÚ plně podporuje zařazení ustanovení o nezávislém a účinném dohledu ze strany jednoho veřejného orgánu dohledu či několika takových orgánů. Domnívá se, že by mělo být ujasněno, jakým způsobem je nezávislost vyklá dána, zejména na kom jsou tyto orgány nezávislé a komu podávají zprávy. V tomto ohledu je zapotřebí kritérií, jež by měla zohledňovat vzájemnou závislost institucí a činností v souvislosti s výkonnými a zákonodárnými orgány. XXXX připomíná, že jde o zásadní prvek pro za jištění účinného dodržování dohodnutých zásad. Pravomoc zakročit a vynucovat právo, kterou mají tyto orgány, je rovněž zásadní, pokud jde o otázku odpovědnosti veřej ných subjektů zpracovávajících osobní údaje, jak již bylo uvedeno. Aby subjekty údajů mohly vykonávat svá práva, měly by být jasně informovány o tom, že tyto orgány existují a jaké jsou jejich pravomoci, zejména pokud nese odpovědnost několik orgánů v závislosti na souvislostech zpracovávání údajů.
70. EIOÚ rovněž doporučuje, aby budoucí dohoda také stano vila mechanismus spolupráce mezi orgány dohledu.
8. P ř i s t u p f y z i c k ý c h o s o b a o p r a v y
71. Pokud jde o přístup a opravy v souvislosti s vynucováním práva, je třeba zvláštních záruk. V tomto ohledu EIOÚ vítá zásadu uvádějící, že fyzické osoby mají či měly by mít přístup a prostředky k „opravám a odstranění svých osob ních informací“. Přetrvávají však určité pochybnosti v souvislosti s vymezením „fyzických osob“ (chráněny by měly být veškeré subjekty údajů, nejen občané dotčené země) a s podmínkami, za nichž by fyzické osoby mohly vznést námitky proti zpracovávání svých informací. Je
třeba přesněji stanovit „vhodné případy“, v nichž by bylo, nebo nebylo možné vznést námitky. Subjekty údajů by měly jasně vědět, za jakých okolností budou moci svá práva vykonávat, tedy například v závislosti na druhu orgánu, druhu vyšetřování či na jiných kritériích.
72. Pokud není možné vznášet námitky proti zpracovávání z oprávněných důvodů přímo, mělo by být k dispozici nepřímé ověřování prostřednictvím nezávislého orgánu odpovědného za dohled nad zpracováváním údajů.
9. T r a n s p a r e n t n o s t a o z n a m o v á n í
73. EIOÚ opět zdůrazňuje význam účinné transparentnosti, aby se fyzickým osobám umožnilo vykonávat jejich práva a přispělo k obecné odpovědnosti veřejných orgánů zpracovávajících osobní údaje. Podporuje navrhované zásady, a trvá zejména na nezbytnosti obecného a individuálního oznamování fyzickým osobám. To se odráží ve znění zásady navrhovaném v bodě 9 přílohy.
74. Zpráva však v kapitole 2, X. X („Dohodnuté zásady“) uvádí, že v USA může transparentnost zahrnovat „jednotlivě či v kombinaci zveřejnění ve federálním rejstříku, individuální oznámení a zpřístupnění při soudním řízení“. Musí být jasné, že samotné zveřejnění v úředním věstníku pro za jištění, že subjekt údajů bude náležitě informován, nepo stačuje. Kromě toho, že je třeba individuálního oznámení, EIOU rovněž připomíná, že informace musí být podány v podobě a v jazyce, které jsou subjektu údajů snadno srozumitelné.
10. N á p r a v a
75. Má-li být fyzickým osobám zaručen účinný výkon jejich práv, musí být schopny podat stížnost k nezávislému orgánu ochrany údajů a musí mít možnost podat opravný prostředek k nezávislému a nestrannému soudu. Obě možnosti nápravy by měly být dostupné stejným způsobem.
76. Přístup k nezávislému orgánu ochrany údajů je nezbytný, jelikož poskytuje pružnou a méně nákladnou pomoc v určité oblasti (vynucování práva), která může být pro fyzické osoby poněkud nejasná. Orgány ochrany údajů mohou rovněž poskytnou pomoc tím, že jménem subjektů údajů uplatní právo přístupu, jestliže výjimky brání subjektům údajů v přímém přístupu k jejich osobním údajům.
77. Přístup k justičnímu systému je další dodatečnou a nepostradatelnou zárukou, že subjekty údajů mohou
usilovat o nápravu před orgánem, jenž náleží do jiné složky demokratického systému, než jsou veřejné orgány, které jejich údaje zpracovávají. Evropský soudní dvůr (24) považoval tento účinný opravný prostředek před soudem za „zásadní pro zajištění účinné ochrany práv fyzické osoby. (...) Odráží obecnou zásadu práva Společenství, která zdůrazňuje ústavní tradice společné členským státům a jež byla zakotvena v článcích 6 a 13 Evropské úmluvy o ochraně lidských práv a základních svobod.“ Opravný prostředek je rovněž výslovně stanoven v článku 47 Listiny základních práv Evropské unie a v článku 22 směrnice 95/46/ES, aniž je dotčen jakýkoli správní opravní prostředek.
11. A u t o m a t i z o v a n á i n d i v i d u á l n í r o z h o d
n u t í
78. EIOÚ vítá ustanovení, které zavádí patřičná ochranná opatření v případě automatizovaného zpracovávání osob ních informací. Konstatuje, že shoda názorů ohledně toho, co je myšleno pojmem „podstatná nepříznivá činnost týka jící se příslušných zájmů fyzické osoby“, by objasnila podmínky použitelnosti této zásady.
12. D a l š í p ř e d á v á n í ú d a j ů
79. V případě některých dalších předávání údajů jsou příslušné podmínky nejasné. Zejména pokud další předávání musí být v souladu s mezinárodními ujednáními a dohodami mezi vysílajícími a přijímacími zeměmi, je třeba přesně stanovit, zda se jedná o dohody mezi dvěma zeměmi, které zahájily první předání údajů, nebo mezi dvěma zeměmi, které jsou zapojeny do dalšího předávání. Podle EIOÚ jsou dohody mezi dvěma zeměmi, které zahájily první předání údajů, v každém případě nezbytné.
80. EIOÚ rovněž poukazuje na velmi široké vymezení „opráv něných veřejných zájmů“, které umožňují další předávání údajů. Oblast působnosti veřejné bezpečnosti je i nadále nejasná a rozšíření předávání údajů v případě porušení etických zásad či regulovaných povolání je v souvislosti s vynucováním práva patrně neoprávněné a nadměrné.
VI. ZÁVĚRY
81. EIOÚ vítá společnou práci orgánů EU a USA v oblasti vynucování práva, v níž je ochrana údajů zásadní. Chtěl by však zdůraznit, že se jedná o složitou otázku, zejména pokud jde o přesnou oblast působnosti a povahu, a že si
(24) Věc 222/84, Xxxxxxx, Sb.rozh.1986, s. 1651; věc 222/86, Heylens, Sb.rozh. 1987, s. 4097; věc C-97/91, Xxxxxxx, Sb. rozh. 1992, s. I-6313.
tedy zaslouží pozornou a podrobnou analýzu. Je třeba bedlivě zvážit dopad transatlantického nástroje na ochranu údajů v souvislosti se stávajícím právním rámcem a s důsledky pro občany.
82. EIOÚ vyzývá k větší srozumitelnosti a ke konkrétnějším ustanovením, zejména ohledně těchto aspektů:
— objasnění povahy nástroje, který by měl být právně závazný za účelem poskytnutí dostatečné právní jistoty;
— propracované rozhodnutí o odpovídající úrovni vychá zející ze základních požadavků ohledně aspektů režimu týkajících se podstaty, specifik a dohledu. EIOÚ se domnívá, že odpovídající úroveň obecné dohody by bylo možné uznat, pouze pokud je zkombinována s odpovídající úrovní zvláštních dohod uzavřených v jednotlivých případech;
— zřetelně vymezená oblast použitelnosti s jasným a společným vymezením dotčených účelů vynucování práva;
— přesné stanovení způsobů, jimiž se mohou soukromé subjekty zapojit do režimů předávání údajů;
— soulad se zásadou proporcionality, z níž vyplývá výměna údajů v jednotlivých případech, kdy je jí konkrétně zapotřebí;
— silný mechanismus dohledu a mechanismy nápravy dostupné subjektům údajů, včetně správních a soudních opravných prostředků;
— účinná opatření zaručující výkon práv veškerým subjektům údajů, bez ohledu na jejich národnost;
— zapojení nezávislých orgánů ochrany údajů, zejména v souvislosti s dohledem a pomocí subjektům údajů.
83. EIOÚ zdůrazňuje, že vypracování zásad není třeba uspě chat, jelikož by to vedlo pouze k neuspokojivým řešením s opačnými účinky, než jsou účinky zamýšlené v souvislosti o ochranou údajů. V tomto okamžiku by tedy nejlepším postupem bylo sestavit plán pro případné vypracování dohody v pozdější fázi.
84. EIOÚ rovněž vyzývá k větší transparentnosti, co se týče postupu vypracovávání zásad ochrany údajů. Pouze pokud se zapojí veškeré zúčastněné strany, včetně Evropského parlamentu, bude nástroj moci využít demokratické diskuse a získat nezbytnou podporu a uznání.
V Bruselu dne 11. listopadu 2008
Xxxxx XXXXXXX
Evropský inspektor ochrany údajů